科博安全协议网关成.doc

1、 科博安全协议网关 案例介绍 中铁信息工程集团 2007年12月 目 录 一、铁路系统案例介绍（中铁信息工程集团办公网） 3 1.1 项目背景及需求分析 3 1.2 方案描述 3 二、建筑工程案例介绍（中国铁路工程总公司） 4 2.1 项目背景及需求分析 4 2.2方案描述 5 一、铁路系统案例介绍（中铁信息工程集团办公网） 1.1 项目背景及需求分析 中铁信息工程集团成立于2002年，具有覆盖全国的59家分公司，高级IT专门人才3000多名,是一个集IT设计规划、软件开发、系统集成、IT专业维

2、护服务为一体的信息产业集团。下属有中铁信商务、中铁信信息安全、中铁信服务、中铁信运营维护、中铁信系统集成和中铁信设计咨询六大主营业务。     经过十余年的不懈努力，集团形成了覆盖各大中城市、辐射全国的网络化结构，是全国范围内网络化IT服务实力最强的企业之一。 集团以诚信为本、以服务为核心价值、以学习和创新为源动力、坚持不断进取的信念，凭借强大的网络、技术、资金和管理资源面向IT市场，通过先进的信息技术应用为用户的信息化建设提供一流的服务。     目前，集团已经成功进入了包括政府、金融、教育、企事业单位等在内的广泛行业。 中铁信息工程集团在全国各地发展了众多的分支机构，构建了一个庞大的

3、生产和销售网络，随着规模的扩大和企业的发展，越来越多的信息化建设项目如ERP系统等都将逐步在全公司全面推广与应用，要求能有一个安全的基础网络平台将众多分支机构也纳入公司整体的基础网络之中。 综合考虑投资成本、安全性等多种因素，同时宽带网络的普及具备了较好的应用条件，所以整个集团的基础网络建设采用VPN（虚拟专用网），在Internet基础上构建各分支机构及移动用户与总部的网络互联平台。 1.2 方案描述 在该安全项目中，中铁信息工程集团公司办公网采用了科博安全协议网关和科博安全隔离与信息交换系统(CopGap)来解决以上的相关问题。 集团希望实现总部对全国办事处、工厂等所有分支机构

4、进行统一管理，所以采用以集团总部为中心的星型网络。集团总部为整个VPN网络的中心，各办事处、工厂全部直接与总部网络互联。 按照规划网络使用的实际情况，科博安全协议网关部署在集团内部办公网络与互联网的连接处，CopGAP系统部署在科博安全协议网关与内部办公网络之间，科博安全协议网关提供基于系统应用进程的绑定验证功能，只有指定的应用的进程相对应的程序才可以通过隔离系统访问外部网络，其他的任何程序包括Telnet、代理工具、非授权客户端等各种程序都无法访问隔离网闸及外部服务器。系统采用先进的硬件编程技术分析底层协议，通过监控分析协议客户端实现通讯协议到隔离网闸的消息协议的无缝协议转换功能，禁止

5、其他任何协议转换客户端的PC与隔离网闸及服务器建立通讯连接，禁止采用任何形式的应用代理客户端。 通过科博安全协议网关和科博安全隔离与信息交换系统(CopGap)的部署实施，满足了集团整体VPN网络架构的要求，根据集团经营模式实现总部与分支机构及分支机构间的VPN互联，构建完整的基础网络平台，并可根据权限的设定和网络拓扑的需要分别设定接入节点和权限控制，增强公司基础网络的稳定性和可靠性。 移动用户在外只要接入Internet，就可以访问授权的网络，如总部或相关的分公司。科博安全协议网关具备细致的安全保障，确保数据传输的安全可靠、接入用户的严格认证。总部、分支机构和移动用户之间，通过Intern

6、et，无需更改原有的网络结构、按照实际的业务运作流程，构建完善、稳定、高效的VPN网络，保障信息化系统的日常运行。 二、建筑工程案例介绍（中国铁路工程总公司） 2.1 项目背景及需求分析 中国铁路工程总公司（China Railway Engineering Corporation，缩写CREC）是集勘察设计、施工安装、工业制造、科研咨询、工程监理、资本经营和外经外贸于一体的多功能、特大型企业集团，属国务院国资委监管的中央企业。总公司总部位于北京，具有国家建设部批准的铁路工程施工总承包特级资质、公路工程施工总承包一级资质、市政公用工程施工总承包一级资质以及桥梁工程、隧道工程、公路路基工

7、程专业承包一级资质，拥有中华人民共和国对外经济合作经营资格证书和进出口企业资格证书，具有派遣人员临时出国(境)和邀请外国经贸人员来华事项审批权。2000年通过ISO9001质量认证，同时获得英国皇家UKAS证书。2002年被北京市审定为高新技术企业。2003年通过职业健康安全管理体系(GB/T28001：2001)和环境管理体系标准(ISO14001：1996)认证， 2004年通过香港品质保证局质量/环保/安全(ISO9001:2000/ISO14001:1996/ OHSAS18001:1999)综合管理体系认证，并获得国际资格证书。 总公司现有40家成员企业，主要是中国海外工程总公司，

8、中铁一局、二局、三局、四局、五局、六局、七局、八局、九局、十局、大桥局、电气化局及隧道、建工集团等14家特大型施工企业，铁道第二、第三勘察设计院、中铁工程设计咨询集团有限公司等6家大型、特大型勘察设计企业，中铁西北、西南、工程机械科学研究院等3家大型科研开发企业，中铁山桥、宝桥、宝工、武工等4家大型工业制造企业，并有12家直属单位和15个指挥部(项目公司)。施工队伍遍布除台湾省外的全国各省、直辖市和自治区的1000多个县市。 总公司在全球各地发展了众多的分支机构，构建了一个庞大的建筑网络，随着规模的扩大和企业的发展，越来越多的信息化建设项目如ERP系统等都将逐步在全公司全面推广与应用，要求能

9、有一个安全的基础网络平台将众多分支机构也纳入公司整体的基础网络之中。 综合考虑投资成本、安全性等多种因素，同时宽带网络的普及具备了较好的应用条件，所以整个总公司的基础网络建设采用VPN（虚拟专用网），在Internet基础上构建各分支机构及移动用户与总部的网络互联平台。 2.2方案描述 经过多方论证，最终确定方案：即中国铁路工程总公司办公网采用了科博安全协议网关和科博安全隔离与信息交换系统(CopGap)来解决以上的相关问题。 中国铁路工程总公司具有纵向、垂直的经营模式，所以采用以公司总部为中心的三级网络。公司总部为一级中心，各大区分公司为二级中心、与总部网络互联，各大区下辖的

10、办事处则接入各自所属的分公司网络。 科博安全协议网关部署在总公司内部办公网络与互联网的连接处，CopGAP系统部署在科博安全协议网关与内部办公网络之间，部署科博安全协议网关，是因为它具有如下功能： 1) 科博安全协议网关提供基于系统应用进程的绑定验证功能，只有指定的应用的进程相对应的程序才可以通过隔离系统访问外部网络，其他的任何程序包括Telnet、代理工具、非授权客户端等各种程序都无法访问隔离网闸及外部服务器。 2) 系统采用先进的硬件编程技术分析底层协议，通过监控分析协议客户端实现通讯协议到隔离网闸的消息协议的无缝协议转换功能，禁止其他任何协议转换客户端的PC与隔离网闸及服务器建立

11、通讯连接，禁止采用任何形式的应用代理客户端。 3) 科博安全协议网关构建了一套安全可信赖的客户端接入认证机制，协议转换客户端支持基于用户名口令和USB KEY数字证书两种方式的身份认证。可实现两种模式的混合应用，互为补充，具备根据用户组或角色、网络、设备、进程及会话属性来进行用户接入的合法性判断。 4) 可控制客户端访问的服务器IP地址范围。并且可控制服务器端的MAC地址 5) 可采用基于用户组策略的安全控制机制实现对访问用户的权限管理，提供用户自助服务，对用户特定功能进行管理，可提高用户工作效率并降低管理成本 6) 管理员可控制最大会话空闲时间，超过设定阀值的系统自动断开已建立通讯链

12、路。防止可能造成的安全隐患，增加系统的安全系数。 7) 采用B/S图形化方式进行设备管理，实现了集中管理。提供用户自助服务，对用户特定功能进行管理，可提高用户工作效率并降低管理成本。 8) 支持基于SSH的远程安全管理，并且提供丰富的远程SSH管理菜单，可提供多种控制命令。 9) 科博安全协议网关客户端能够实时监控用户访问服务器的通讯流量 10) 采用工业级标准设计，抗震动，支持40000小时以上连续无故障运行 11) 系统吞吐量>680M/s, 系统延时〈1ms CopGap200用于从物理上截断传输通道，但实现可控的数据摆渡。之所以部署CopGap200，其作用在于物理隔离

13、具备如下功能： 1) 具有细粒度的访问控制功能物理隔离系统的访问控制功能。表现为从IP层到应用数据层细粒度的访问控制。从协议头到基于内容的安全过滤都被考虑。 2) 断开TCP/IP连接绝大多数攻击者都通过存活的TCP连接得逞，只要断开内外网络之间的TCP连接，多数攻击将无能为力。物理隔离系统采用双单边代理的方式将进出系统的连接断开，使内部资源对外网不可达。 3) 采用专用的封装协议鉴于绝大部分网络攻击都是通过网络协议达到的，物理隔离系统应能剥离一切TCP/IP协议头，而依据内部专用的协议传输应用数据和控制信息。在通信的另一端，按照物理隔离系统安全策略标准，生成新的TCP/IP分组。

14、4) 实现可控应用数据交换。如果内外网络传输的只是原始的应用数据，则通过这条通道的安全威胁将大大减少。但其中仍然可能包含恶意代码，如基于邮件内容的计算机病毒、基于WORD文档格式的宏病毒，甚至通过应用数据泄漏机密信息。物理隔离系统将有格式的内容进一步原始化，并进行语义检查，然后在两个网络之间只交换这种数据，解决了上述所有安全问题。试想，如果两个网络之间交换的只是TXT文件，并经过了语义分析，外部网络对内部网络构成的威胁就能大大降低了。 5) 支持多种标准应用。对于银监会的所有标准应用，应该提供应用层代理模式的安全应用数据交换，包括数据采集系统服务。对于银监会其他非标准的服务，在安全许可的条件

15、下，物理隔离系统应能提供应用层的透明传输。 6) 双端应用代理体系代理CopGap200具有应用代理服务，所有客户始终只能和代理服务器相连，不能直接将命令字发送至服务器。 7) 提供身份认证功能CopGap200提供附件的身份认证模块。该模块对客户端提供基于USB令牌的身份认证。用户只有插入合法的USB，才能通过隔离设备访问受保护的资源。 通过科博安全协议网关和科博安全隔离与信息交换系统(CopGap)的部署实施，满足了中国铁路工程总公司整体VPN网络架构的要求，确保数据传输的安全可靠、接入用户的严格认证。总部、分支机构和移动用户之间，通过Internet，无需更改原有的网络结构、按照实际的业务运作流程，构建完善、稳定、高效的VPN网络，保障信息化系统的日常运行。 8 8 地址：北京市首体南路22号国兴大厦7-8层 邮编：100044